adatvédelem-vírusvédelem aktuális szervezeti kérdései az … · adatvédelem-vírusvédelem...
TRANSCRIPT
Adatvédelem-vírusvédelem
aktuális szervezeti kérdései
az egészségügyi
intézményekbenNagy István
Gottsegen György Országos Kardiológiai Intézet
Informatikai osztályvezető
XXIII. Magyarországi Egészségügyi Napok Debrecen 2016
Felelős kórházi vezető kérdései
informatikai adatvédelem és
sérülékenység témában
• Milyen informatikai fenyegetéseknek vagyunk kitéve?
• Vajon mennyire biztonságosak az informatikai
rendszereim?
• Mennyire nehéz kijátszani az általunk alkalmazott
biztonsági technológiákat?
• Elegendő-e az eddig elért biztonsági szintünk? Mit kell
tennem annak érdekében, hogy – minél
költséghatékonyabban, de – tovább lehessen növelni?
• Mi a helyzet az adatszivárgással? Elkerülhető-e a bizalmas
adatokkal való visszaélés?
• Törvényi megfelelés ! ??
Az adatvédelemmel kapcsolatos
kérdések indokoltságát alátámasztó
tények
EESZT
(TIOP 2.3.2)
eHealth
szolgáltatások
(TIOP 2.3.1)
TIOP 2.3.3
2015 év végén több egészségügyi
informatikával kapcsolatos projekt
lezáródott
Hamarosan indul az EESZT és a
hozzá kapcsolódó szolgáltatások
2016 év első 8 hónapjában mind az európai,
mind a magyar kórházakban okoztak
meglepetéseket és zavarokat a vírusok
Adatvédelmi audit
Forrás- Dr. Hortobágyi József Operatív projektvezető, TIOP 2.3.3
TIOP 2.3.3. kapcsán készült kérdőíves
felmérés melynek a projektcélja
a fekvő- és járóbeteg intézmények IT infrastruktúráinak, HIS
rendszereinek és külső internetes / publikus felületeinek IT
biztonsági auditja, az állami és önkormányzati szervek
elektronikus információbiztonságáról szóló 2013. évi L.
törvényben (Ibtv.), valamint végrehajtási rendeleteiben foglalt
követelményrendszer meglétének vizsgálata.
Hatókör
� A projektben részt vevő összes (191) db. intézmény
� 144 db intézmény adott választ (75%)
� A kérdőívben szereplő megválaszolt kérdések aránya
átlagosan 32,5%-os volt.
Kibertér (cyberspace)
A számítógéprendszerek és hálózatok által
alkotott metaforikus tér,amelyben elektronikus adatok
tárolódnak és online adatforgalom, valamint
kommunikáció zajlik.
A kifejezés a tudományos-fantasztikus
irodalomból ment át a köztudatba, ahol olyan virtuális
világot is jelent(het), amelyben a megszállott
számítógép használók és más lények,
például kiborgok élnek.
(Wikipedia)
Az elektronikus információbiztonsági megfelelőség és
sérülékenység-vizsgálat célja
• pontos kép alakuljon ki a rendszerben meglévő azon
informatikai sérülékenységekről, melyek a rendszerben tárolt
védett adatokhoz való illetéktelen hozzáférést tesznek
lehetővé, és
• célszerű javaslat szülessen az e sérülékenységekből adódó
kockázatok csökkentésére, illetve megszüntetésére,
• valamint, hogy megállapítsa, hogy a megvalósított rendszerek
mennyiben felelnek meg a 2013. évi L. törvény és végrehajtási
rendeleteiben foglaltaknak.
� Kockázatkezelés és kibervédelem
� Eszközök, szoftverek nyilvántartása; adattárolási helyek; külső rendszer
kapcsolatok; szabályzatok; korábbi felmérések, vizsgálatok voltak-e;
� Szervezet
� Informatikai biztonsági felelős; kibervédelmi képzések; biztosítás
károkozás esetére;
� Hálózat- és információvédelem
� Hálózatbiztonsági eszközök; fejlesztői-teszt környezet; szabályozás: info.
eszk. mozgatása, külső adattárolók; archiválás, incidenskezelés, mentési
eljárások, titkosítás, hitelesítés
� Távoli hozzáférés kockázatai
� Módja; igénybe vehető szolgáltatások; authentikáció; authorizáció;
naplózás; határvédelem; behatolás védelem;
Az elektronikus információbiztonsági megfelelőség és
sérülékenység-vizsgálat célja
� Szállítói és harmadik félből eredő kockázatok
� Szabályzatok kiterjesztése beszállítókra; minőség bizt. tanúsítványok;
it bizt. követelmények beszerzéskor; szállító hozzáférése belső
erőforráshoz; szállítói támogatás kívülről;
� Jogosulatlan tevékenység észlelése
� naplózás; monitorozás: hálózat, eszközök, külső hozzáférések,
jogosulatlan eszközök belső hálózatban; veszélyes kódok futásának
ellenőrzése;
� Eddigi incidensek és kezelésük
� Volt e?: Malware; DOS/DDOS; alkalmazás leállás hardver hiba miatt;
jogosulatlan hozzáférés vállalati / nem vállalati eszközön keresztül;
adathalász levél; érzékeny adatszivárgás;
Az elektronikus információbiztonsági megfelelőség és
sérülékenység-vizsgálat célja -2
A felmérés alapján a jellemző
intézményi problémák
Weboldal sérülékenység miatt portál alkalmazások
kompromittálhatóak, adatok elérhetővé tehetőek
illetve miatt kapcsolat létesíthető a belső
rendszerekkel
• Ha a szoftver nem jól van megírva sérülékenyebb a rendszerünk
• Csak a használt hálózati protokollok engedélyezése (pl:TCP/IP)
• A protokoll titkosítási erősség beállítása
• A kommunikáció titkosítási algoritmusának megadása
• A kommunikációra használt portok nyitása vagy zárása
(pl.HTTP - Port 80)
• Titkosított kommunikációra használt port nyitása vagy zárása
• Weboldal sérülékenység webhosting esetében nehezen
ellenőrizhető, más nem ismert weboldalak miatt
Gyenge, triviális, kitalálható, alapértelmezett vagy
gyári jelszavak használata
Külső „harmadik fél” által üzemeltetett
szolgáltatás veszélye – hibaelhárítás lassú
Az információbiztonság
kiterjesztése mobil eszközökreMinden korábbi elképzelést felülmúl a mobil eszközök napjainkban tapasztalható térnyerése.
Okostelefonok, táblagépek, netbook-ok, notebook-ok széles skálája könnyíti meg életünket és
nyújt soha nem látott kommunikációs szabadságot. Nem szabad azonban elfeledkeznünk arról,
hogy ezek az eszközök komoly biztonsági kockázatot is hordoznak, hiszen bizalmas adatokhoz
adnak hozzáférést, sokszor nem megfelelően kontrollált módon. A vállalati felhasználóknál
gyakran előfordul, hogy az ilyen eszközök alkalmazásakor elsiklanak az információbiztonsági
szempontok felett.
Az információbiztonság
kiterjesztése mobil eszközökreNéhány példa:
• Nem védik jelszóval, PIN kóddal az eszközhöz való hozzáférést, így az
eszköz elvesztése, ellopása vagy egyszerűen magára hagyása esetén
könnyen vissza tudnak élni a rajta tárolt bizalmas adatainkkal.
• A mobil eszközökön futó operációs rendszerek nem titkosítva tárolják az
adatokat.
• A tárolt adatokról nem mindig készülnek biztonsági mentések, azaz az
eszköz elvesztése, ellopása esetén gyakorlatilag megsemmisülnek
pótolhatatlan bizalmas adataink.
• Tömegesen használják az alapból nem biztonságos kommunikációs
csatornákat (wifi, bluetooth).
• A közösségi oldalakkal való automatikus adatszinkronizáció révén bizalmas
adatok is könnyedén publikálásra kerülhetnek, ezzel gyakorlatilag
megszüntetve a vállalati adattestek szeparáltságát.
Hálózatok túlzott átjárhatósága
Cél: világméretű infokommunikációs
hálózat kialakítása, amely biztosítja a
különböző hálózatok közti barangolás
képességét, anélkül, hogy a felhasználó
ennek a hatásait bármilyen módon
érzékelné: a felhasználó szemszögéből a
kommunikáció transzparens legyen.
Információbiztonság tudatosság hiánya
Hiányzó biztonsági szabályzatok és
betartatásuk
Túlzóan széleskörű jogosultság adás (kényelmi
okból) szakmai és nem szakmai rendszerekhez
1. authentikáció (authentication) – hitelesítés (személy)azonosítás biztosítása
2. A megfelelő autentikáció után következik a jogosultságok felhasználóhoz vagy
egyéb szubjektumhoz rendelése.
Fontos kiemelni, hogy a megfelelő autentikációt követheti egy nem megfelelő
autorizáció .
Amennyiben nem megfelelő a jogosultságok kezelése, úgy a rendszer
mindhárom fő biztonsági paramétere sérülhet.
Internetes oldalak korlátlan használata
Naplózás és naplómenedzsment hiánya, mely
nélkül adatlopások és kémkedési kampányok
nem deríthetőek fel
Elavult, régi nem támogatott rendszerek és
szoftverek használata
A szoftverben felismert biztonsági rések nem kerülnek kijavításra.
https://pixelmarketing.hu/serulekeny-bovitmenyek-2016-julius/
A dolgozók informatikai biztonság
tudatosságának oktatása
Mottó: az aggodalom önmagában senkit nem óv meg semmitől. A tudás, a tapasztalatok és a segítség viszont annál inkább.